28/02/20

De GBA publiceert richtlijnen voor GDPR compliance in Direct Marketing

De Belgische Gegevensbeschermingsautoriteit lanceerde afgelopen week met wat vertraging een 80 pagina’s lange “Aanbeveling betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden.  Sirius Legal analyseerde het document inmiddels en filterde uit het ellenlange document de informatie die marketeers écht moeten onthouden in hun dagelijkse praktijk.
Werp even een blik op onze samenvatting van deze Direct Marketing richtlijnen en je bent weer helemaal mee! 

Richtlijnen van 80 pagina’s rond direct marketing

Het is inmiddels bijna twee jaar geleden dat de GDPR in werking ging.  Een vaststelling blijft echter dat héél wat marketingafdelingen in bedrijven en webshops nog steeds niet klaar zien in de wirwar van regels die hen opgelegd worden door de GDPR enerzijds, maar ook door de huidige ePrivacyregels uit het Wetboek Economisch Recht (de “anti-spam wetgeving”), de cookiewetgeving, de regels rond het bel-me-niet-meer register, de Robinsonlijst, …  

De lijst met regels waar bedrijven rekening mee moeten houden is érg lang en de juiste toepassing van die regels in een context van marketing automation, AI en predictive software, cross device tracking en vergaande profiling van klanten is alles behalve evident.

Ook bij de overheid beseft men dat het voor bedrijven niet bepaald evident is om te te weten wat wél en niet mag als het aankomt op omgaan met customer data voor (direct) marketing doeleinden.  Volgens eigen zeggen ontving de Belgische Gegevensbeschermingsautoriteit sinds mei 2018 ruim 600 vragen over direct marketing. Direct marketing staat daarmee in de top 3 van de vragen en klachten die de GBA ontving.

Precies daarom lanceerde de Belgische Gegevensbeschermingsautoriteit vorige week haar al enige tijd aangekondigde  “Aanbeveling betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden”.  

“Nieuwe” direct marketing regels?

Een eerste belangrijke vaststelling is dat de ganse tekst voor de specialist eigenlijk weinig of geen nieuwigheden bevat.  Het document van de GBA is vooral een poging om alle bestaande regels rond omgaan met data in een (direct) marketing context samen te brengen en op een overzichtelijke manier toe te lichten.  De GBA doet daarbij overigens voor het eerst ook een poging om het begrip direct marketing een juridische definitie te geven, die samengevat op het volgende neerkomt:  élke commerciële boodschap die gericht is aan een specifieke persoon, ongeacht de wijze waarop, is direct marketing.   

Hier en daar lazen we echter toch wat dingen die voor zover wij weten niet in eerdere adviezen stonden en ook niet letterlijk uit de bestaande wetgeving afgeleid kunnen worden.  

De GBA is ons inziens overigens goed geslaagd in zijn opzet.  Het is een erg bruikbaar document geworden, met tal van duidelijk uitgewerkte praktische voorbeelden.  

We hebben de belangrijkste topics uit het advies hieronder voor je gedistilleerd.  Uitgebreidere toelichting vind je vanzelfsprekend in de aanbevelingen zelf of kan altijd contact met ons opnemen.  We begeleiden immers op zeer regelmatige basis marketingafdelingen van online retailers, banken, touroperators, etc… met advies en consultancy in databescherming.  

Correct omgaan met customer data als (direct) marketeer

De vaststelling, ook in onze praktijk, is vaak dat marketeers weinig grip hebben op de basisbeginselen voor correct omgaan met data onder GDPR.  Precies daarom bevatten de aanbevelingen van de GBA een uitgebreid hoofdstuk met detailtoelichting over bijvoorbeeld wie verantwoordelijk is voor de correcte toepassing van de GDPR (wie is data controller), maar ook over de basisvragen die elke marketingafdeling zich moet stellen voordat ze aan de slag gaat met customer data.

Wat je als marketeer moet onthouden is vooral dat er grenzen zijn aan wat je met data kan doen.  Je hebt als marketeer een transparantieverplichting onder GDPR. Klanten horen te weten welke gegevens je over hen verzamelt en wat je ermee doe.  

In die context verduidelijken de richtlijnen nogmaals dat je voorafgaand aan elk gebruik van klantendata moet bepalen waarvoor je die data wil gebruiken.  Je moet met andere woorden vooraf je doeleinden duidelijk bepalen en communiceren aan je klant en je mag vervolgens de data waarover je beschikt uitsluitend gebruiken voor die doeleinden die je vooraf gedefinieerd hebt.  Een en ander gaat regelrecht in tegen de ganse big data filosofie die de voorbije jaren is gegroeid en die lijkt uit te gaan van het principe dat we best zo veel mogelijk data verzamelen om later wel eens uit te zoeken wat we daar precies mee zouden kunnen doen.

Op dezelfde manier moeten marketeers voor ze aan de slag gaan ook in detail bepalen welke verwerkingen nodig zijn om dat doel te bereiken en welke data daarvoor nodig is.  Bij dat laatste punt geldt ook volgens de GBA een “less is more” principe. Data kan alleen bijgehouden en verwerkt worden als ze écht nodig is en anders moet ze toch echt verwijderd worden…

Dat alles hoort duidelijk opgenomen te zijn in het verwerkersregister en, als dat nodig is, ook in een voorafgaande Data Protection Impact Assessment (bijvoorbeeld wanneer gevoelige data verwerkt wordt, wanneer verschillende databronnen aan elkaar gekoppeld worden of wanneer nieuwe technologie of nieuwe processen ingezet worden).

Profiling

De aanbevelingen van de GBA maken specifiek plaats voor een hoofdstuk over profiling.  Goede direct marketing is immers ondenkbaar zonder betrouwbare klantenprofielen.

Profiling vereist volgens de GBA, terecht, grote voorzichtigheid omdat de impact ervan op de betrokkenen groot is, vooral als op basis van een klantenprofiel ook beslissingen genomen worden die de betrokkene “in aanmerkelijke mate treffen”.  Dat is bijvoorbeeld het geval als bijvoorbeeld reclame voor consumentenkrediet gericht wordt op profielen met gekende financiële moeilijkheden of als prijzen aangepast worden in functie van individuele profielinformatie.  

Profiling is vaak alles behalve transparant, ook als er geen automatische besluitvorming aan verbonden is.  De GBA wijst daarom nogmaals op het belang van correcte informatie. Dat betekent dat je privacy policy moet melden dat klantenprofielen opgebouwd worden en in detail moet uitleggen op basis van welke gegevens dat gebeurt, waarom dat gebeurt, waarvoor de profielen gebruikt worden en met wie de data eventueel gedeeld wordt.

Anonieme data is lang niet altijd anoniem

Belangrijk in het kader van profiling is dat ook segmentatie van data op basis van op het eerste zicht geheel anonieme data toch als verwerking van persoonsgegevens en profiling beschouwd moet worden.  De GBA geeft daarbij het voorbeeld van onderzoek uitgevoerd door een onderzoeksteam van de Katholieke Universiteit Leuven en de Imperial College London, dat aantoont dat het mogelijk is om natuurlijke personen te identificeren op basis van 4 “geanonimiseerde” gegevens van hun bankverrichtingen, met een zekerheidsgraad van 90%, door het toepassen van een bepaald algoritme.  Op basis van de waarschijnlijkheid en de statistische correlaties die worden toegepast op de metagegevens van de banktransacties, is het dus mogelijk om met quasi zekerheid een persoon te identificeren die naar een doe-het-zelfzaak is geweest, vervolgens naar zijn of haar gymzaal, voordat hij of zij naar een restaurant gaat, en die de dag beëindigt door naar de bioscoop te gaan.  

Met andere woorden: anonieme data is lang niet altijd anoniem…

Toestemming of gerechtvaardigd belang?

De Direct Marketing richtlijnen maken ruim plaats voor een analyse van de rechtsgronden die ingeroepen kunnen worden als basis voor direct marketingactiviteiten.  

In se zijn maar twee rechtsgronden echt bruikbaar: ofwel gaf de betrokkene zijn voorafgaande toestemming, ofwel deed hij dat niet maar heeft de marketeer een gerechtvaardigd belang om gegevens te verwerken ook zonder voorafgaande toestemming.  De ene heeft geen voorrang op de andere, maar het komt wel aan de data processor toe om in elke context de meest aangewezen rechtsgrond te kiezen. 

Wat erg belangrijk is en wat daarom terecht herhaald wordt in de aanbevelingen: je kan doorheen de tijd de ene rechtsgrond niet vervangen door de andere.  Als je je newsletter database hebt opgebouwd op basis van voorafgaande toestemmingen, kan je niet plots en met terugwerkende kracht beslissen dat je eigenlijk bij nader inzien een gerechtvaardigd belang had en geen toestemming nodig had.  Je kan ook geen twee rechtsgronden hebben voor dezelfde verwerking. Ofwel baseer je je op toestemming ofwel op gerechtvaardigd belang, maar dus niet op beiden tegelijk.

Voor wat betreft het inroepen van het gerechtvaardigd belang is de vaststelling in de praktijk dat heel wat bedrijven of marketingafdelingen binnen bedrijven hier nogal lichtzinnig mee omgaan.  De aanbeveling verduidelijkt in deze context nogmaals dat het gerechtvaardigd belang voorafgaand duidelijk omschreven en gedocumenteerd moet zijn (in het verwerkersregister) en transparant meegedeeld moet worden aan de betrokkene (in de privacy policy).  

Een hele geruststelling voor vele marketeers is de bevestiging dat prospectie op basis van gerechtvaardigd belang niet uitgesloten is onder GDPR.  Je mag dus in principe prospects (die per definitie nog geen klant zijn en geen toestemming kunnen gegeven hebben om reclame te ontvangen) wel degelijk contacteren, maar enkel als je kan aantonen dat dit noodzakelijk is voor je bedrijf en of je hetzelfde resultaat niet kan bereiken op een andere manier en als de afweging van de belangen van de betrokkene met jouw belang in evenwicht blijft.  

Heel belangrijk is dat je bij die afweging rekening moet houden met de redelijke verwachtingen van de betrokkene: in welke mate verwacht de betrokkene dat je zijn of haar gegevens voor een bepaald doeleinde zou kunnen gebruiken.  Het is bijvoorbeeld evident dat een bank haar klantendata gebruikt om reclame voor haar verzekeringsproducten te sturen op maat van haar klanten, maar dat die bank diezelfde data zou verkopen aan adverteerders ligt ongetwijfeld buiten de normale verwachtingen van haar klanten… 

Belangrijk is ook de vaststelling dat newsletters aan bestaande klanten voor gelijkaardige producten onder de ePrivacyregels uit het Wetboek Economisch Recht onder GDPR normaal wel te rechtvaardigen zijn onder het rechtvaardig belang.  Het samenspel tussen het WER en de GDPR is al langer een gevoelige oefening en we zijn blij om lezen dat de GBA in deze richtlijnen de visie herneemt die wij de voorbije jaren bij talloze cliënten ook geïmplementeerd hebben: GDPR en anti-spamregels moeten naast elkaar gezien worden als complementaire wetgeving, waarbij aan de voorwaarden van beide wetgevingen voldaan moet zijn voordat je reclamemails kan gaan uitsturen, maar waarbij de vaststelling is dat de correcte toepassing van de antispamregels (reclame mag naar bestaande klanten voor gelijkaardige goederen of diensten) in se ook een geldige rechtsgrond creëert onder GDPR, zelfs zonder expliciete toestemming.

Omgekeerd is een minder aangename vaststelling voor veel marketeers wellicht dat de GBA verwacht dat in direct mailings niet enkel een unsubscribemogelijkheid gegeven worden zoals de ePrivacy regels in het WER dat vragen (ik wil geen newsletters meer ontvangen), maar dat daarnaast óók nog eens expliciet een “recht op verzet tegen verdere verwerking” onder GDPR geboden moet worden in elke mail (“ik wil dat mijn gegevens niet meer gebruikt worden voor direct marketingdoeleinden”).  Met dat laatste schrijft een ontvanger zich niet enkel uit uit de mailinglijst, maar vraagt hij dat zij gegevens verwijderd worden uit de marketingdatabase…

Cookies

De Direct Marketing richtlijnen gaan in se niet over cookies, maar toch komt dit onderwerp ter sprake in de tekst, met name in het hoofdstuk over toestemming, met de vaststelling dat met name voor het plaatsen van cookies vaak niet voldaan is aan de regels rond transparantie, voorafgaande vrije opt-in (en dus het respecteren van het recht om géén opt-in te geven), actieve opt-in (en dus het verbod op soft opt-in of opt-out), …

Voor cookies geldt bovendien ook dat cumulatief rekening gehouden moet worden met zowel de cookiewetgeving (de Telecomwet dus eigenlijk) én de GDPR van zodra cookies gebruikt worden om persoonsgegevens te verzamelen.

Bijzondere aandacht is daar vereist, mede gelet op de recente cookie-boetes en op het feit dat benchmark scans aantonen dat 90% van de websites niet cookie compliant is.  Wie meer wil lezen over cookies of zijn eigen website cookie compliant wil krijgen, kan terecht op onze speciale cookiescanpagina www.cookie-scan.be.  

Wat leren we uit deze aanbeveling?

Deze DM aanbeveling van de Gegevensbeschermingsautoriteit is zonder twijfel een nuttige en handige hulp voor veel marketeers.  Heel wat gangbare problemen en vragen worden er, met vaak concrete voorbeelden ter illustratie in toegelicht. Het document is dus ongetwijfeld handig om bij de hand te hebben.

Wat je als marketeer echter sowieso ook moet doen -voor zover dat nog niet gebeurd is in een globale GDPR compliance oefening- is het hele marketingbeleid van je afdeling onder de loep nemen op basis van een hele reeks standaardvragen: 

  • Welke data verzamelen we?
  • Waarvoor gebruiken we die data?
  • Waar komt de data vandaan?
  • Welke is onze rechtsgrond?  
  • Is dat wel de meest gepaste rechtsgrond en kunnen we een en ander verantwoorden? 
  • Hebben we alle data effectief nodig of moeten we bepaalde gegevens eigenlijk wissen?
  • Kunnen we sowieso bepaalde data wel wissen?
  • Welke tools gebruiken we?  
  • Zijn we zeker dat die tools GDPR compliant zijn en hebben we verwerkersovereenkomsten met iedereen?
  • Blijft onze data binnen de EU? 
  • Met wie delen we onze data?  
  • Zijn onze dataregisters volledig, up to date en waarheidsgetrouw?
  • Is de inhoud van onze dataregisters correct, volledig en waarheidsgetrouw vertaald naar onze privacy policy?
  • Verwerken we gevoelige gegevens?
  • Bouwen we profielen op over onze klanten en nemen we op basis van die profielen automatische beslissingen?
  • Koppelen we soms databases aan elkaar, gebruiken we nieuwe technologie of zijn er andere redenen om een DPIA te doorlopen?
  • Zijn we zeker dat al onze data technisch en organisatorisch voldoende veilig zit?
  • …?

Pas wanneer al die vragen, en alle ad hoc vragen die ze op hun beurt weer oproepen, duidelijk beantwoord zijn én gedocumenteerd zijn, kan je als marketeer met een gerust hart en zonder vrees voor boetes of incidenten verder aan de slag…  Zo slaap je niet alleen op 2 oren, maar zorg je ook voor een algehele professionele uitstraling van je databeleid. 

dotted_texture